보도 통해 뒤늦게 알게 된 민티드, 여러 고객 정보 새나간 것 확인...지불 정보는 제외
[보안뉴스 문가용 기자] 미술과 그래픽 디자인을 크라우드소싱하는 온라인 장터 민티드(Minted)가 5월 초에 정보 유출 사고가 일어났음을 인정했다. 민티드는 2007년 설립된 온라인 플랫폼으로, 미술 작품이나 디자인물의 거리를 활성화할 뿐만 아니라 주기적으로 디자인 및 미술 대회를 열기도 한다.
[이미지 = utoimage]
민티드가 해킹을 당했다는 건 이미 수주 전부터 알려져 있었다. 샤이니 헌터스(Shiny Hunters)라는 해킹 그룹이 민티드 사용자 정보라는 데이터베이스를 다크웹에서 광고해왔기 때문이다. 이들은 500만 명의 계정 정보를 보유하고 있다고 주장했으며, 2500 달러에 해당 DB를 판매하고 있었다. 물론 여기에는 민티드 외의 다른 서비스로부터 탈취한 정보들도 포함되어 있다고 했다.
이 때까지도 민티드는 해당 사실을 인지하지 못하고 있는 듯했다. 외신들이 다크웹에서의 이러한 동향을 파악해 보도하자, 그때부터 조사에 착수했다. 조사 결과 2020년 5월 6일 해커들이 사용자 계정이 있는 데이터베이스에 침투해 데이터를 빼간 것을 알게 되었다고 한다. 샤이니 헌터스는 고객 이름, 로그인 비밀번호, 이메일 주소 등 개인정보를 탈취하는 데 성공했다고 하며 일부 고객의 경우 전화번호, 주문지 주소, 생년월일 등도 함께 도난당했다고 한다.
“저희가 현재까지 진행한 조사에 의하면 지불카드 및 신용카드 정보와 고객의 사진, 고객이 개인적으로 설정하거나 추가한 프로파일 정보, 고객의 주소록 등은 무사한 것으로 보입니다.” 민티드가 발표한 내용이다.
또한 도난당한 비밀번호 역시 평문으로 저장되어 있지 않은 것으로 나타났다. 암호화와 설트(salt)처리까지 되어 있었다고 민티드는 주장했다. 그럼에도 만전을 기하기 위해 고객들에게 “민티드 계정 비밀번호를 변경하라”고 권고했다. 뿐만 아니라 민티드와 같은 ID와 비밀번호를 사용하는 다른 온라인 서비스의 경우에도 비밀번호를 바꾸는 게 안전하다고 강조했다.
민티드는 이번에 유출된 정보를 확보한 공격자들이, 그 정보를 발판 삼아 추가 공격을 할 수도 있다며 “출처가 확인되지 않은 정보에 함부로 접근하거나, 신원이 정확하지 않은 사람의 정보 요청에 응하면 안 된다”고 알리기도 했다.
“최근 범죄자들은 대단히 정교한 피싱 공격을 할 줄 압니다. 최소한의 정보만으로도 추가 연구 조사를 통해 피해자들을 파악하고, 그 피해자가 열어보고 싶은 마음이 들 만한 내용으로 메일을 꾸밉니다. 따라서 이번에 유출된 정보도 그러한 데에 활용될 가능성이 높습니다. 또한 같은 비밀번호를 여러 사이트와 서비스에 적용하는 일반 사용자들의 습관도 공격자들은 잘 알고 있습니다. 그러니 비밀번호는 최대한 다르게 사용하는 것이 안전합니다.”
3줄 요약
1. 디자인 및 미술 전문 온라인 시장 민티드에서 해킹 사고 발생.
2. 해커는 진작부터 데이터 판매하고 있었는데, 민티드는 보도 나올 때까지 몰랐음.
3. 부랴부랴 조사하니 지불 정보 제외한 개인정보 유출된 듯. 추가 피싱 공격 유의.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>